Negli ultimi giorni è presente un nuovo attacco informatico che colpisce indistintamente qualsiasi database non sicuro. Si chiama Meow e attualmente conta tra le vittime oltre 4000 database di tipo di Elasticsearch e MongoDB.
Tutto è cominciato il 20 Luglio 2020, quando il ricercatore Bob Diachenko ha pubblicato su Twitter una prima immagine del cosiddetto attacco meow, che non consiste in un qualsivoglia malware o ransomware ma semplicemente nella ricerca e successiva eliminazione di tutto il contenuto di un database.
L’immagine riguarda un database Elasticsearch di un provider VPN, che ha affermato di non aver mantenuto traccia dei propri log e quindi non avere una qualche prova sugli attaccanti, oltre a non aver correttamente protetto il proprio database. Successivamente il database è stato reso sicuro dall’azienda ma dopo appena 5 giorni sembra essere tornato nuovamente esposto a possibili attacchi di tipo meow. Sembra che l’attacco consista in un semplice script che sostituisce o elimina completamente qualunque dato presente in un database.
Mentre sono ancora in corso le indagini per capire da chi provengano questi attacchi, l’utente Twitter Anthr@X ha scoperto che questi attacchi meow sono eseguiti attraverso IP provenienti dal servizio ProtonVPN. Attraverso inoltre l’analisi dei log nei database MongoDB è possibile intuire come l’attacco esegua prima il comando DROP (che in SQL è quello responsabile dell’eliminazione di un database o una tabella di esso) per poi usare una CREATE per creare un nuovo database con stringhe randon del tipo $randomstring-meow.
Questo è un problema piuttosto grave, in quanto i database sono la base di un qualunque sito web, dove possono essere salvate credenziali utente, dati riservati o documenti solitamente inaccessibili dall’esterno. Poter riuscire ad eliminare queste informazioni con un semplice script rende delle informazioni riservate altamente esposte ad una possibile divulgazione presso forum nel Deep Web, dove solitamente questi dati vengono rivenduti a terzi. Inizialmente i database colpiti erano circa 1800, tra cui cui Elasticsearch (1,395), MongoDB (383) e Redis (54). Allo stato attuale il numero è arrivato ad oltre 4000, rendendo questi attacchi molto più pericolosi di quello che potessero sembrare. Il 97% dei database colpiti è di tipo MongoDB ed Elasticsearch, però non è scontato che nei prossimi giorni ci possano essere attacchi verso altre tipologie di database, come ad esempio InnoDB. Il nostro consiglio è quello di proteggere attentamente i propri dati, evitando di renderli esposti ad attacchi informatici come questi.